Mise en place de Kubernetes avec Cilium et Cloudflare

Cette traduction a été générée par une IA générative à l'aide de la traduction continue Action. →

A beautiful cover image with the text "Kubernetes"

11 juin 2024 • Dernière mise à jour : 1 oct. 2024 • 6 min de lecture • 1100 mots

Travailler avec les conteneurs Docker peut être difficile. Cependant, il existe des outils qui facilitent la gestion des conteneurs, comme Kubernetes. En fait, Kubernetes est le seul outil, à ma connaissance, qui agit comme un logiciel de gestion pour les conteneurs Docker. Kubernetes est bien intégré dans presque tous les fournisseurs de cloud, comme Google Cloud, Azure et AWS. Par conséquent, il utilise une syntaxe standardisée en yaml, ce qui est idéal pour les petits développeurs, car ils peuvent basculer entre « Les Trois Grands » avec peu d’effort.

résumé

Installez tout, puis appliquez cert-manager. Facile.

curl -sfL https://get.k3s.io | sh -s - \
  --flannel-backend=none \
  --disable-kube-proxy \
  --disable servicelb \
  --disable-network-policy \
  --disable traefik \
  --cluster-init

curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash

helm repo add cilium https://helm.cilium.io/
helm repo update
helm install cilium cilium/cilium

CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli/main/stable.txt)
CLI_ARCH=amd64
curl -L --fail --remote-name-all https://github.com/cilium/cilium-cli/releases/download/${CILIUM_CLI_VERSION}/cilium-linux-${CLI_ARCH}.tar.gz
sudo tar xzvfC cilium-linux-${CLI_ARCH}.tar.gz /usr/local/bin
rm cilium-linux-${CLI_ARCH}.tar.gz

cilium install \
  --set k8sServiceHost=${API_SERVER_IP} \
  --set k8sServicePort=6443 \
  --set kubeProxyReplacement=true

cilium status --wait

helm install cert-manager jetstack/cert-manager --namespace cert-manager --create-namespace --set crds.enabled=true

1
# secret-cloudflare.yaml
2
apiVersion: v1
3
kind: Secret
4
metadata:
5
    name: cloudflare-api-key-secret
6
    namespace: cert-manager
7
type: Opaque
8
stringData:
9
    api-key: <Cloudflare API Token (not encrypted)>
10
---
11
# cert-issuer.yaml
12
apiVersion: cert-manager.io/v1
13
kind: ClusterIssuer
14
metadata:
15
    name: acme-issuer
16
    namespace: cert-manager
17
spec:
18
    acme:
19
        email: <Email for updates>
20
        server: https://acme-v02.api.letsencrypt.org/directory
21
        privateKeySecretRef:
22
            name: acme-issuer
23
        solvers:
24
            - dns01:
25
                  cloudflare:
26
                      email: <Cloudflare account Email>
27
                      apiTokenSecretRef:
28
                          name: cloudflare-api-token-secret
29
                          key: api-token

Installer k3s

Comme Hagen l’explique dans son article, nous voulons installer k3s sans configurations et avec tout désactivé. Il décrit en détail quels composants ne sont pas installés.

curl -sfL https://get.k3s.io | sh -s - \
  --flannel-backend=none \
  --disable-kube-proxy \
  --disable servicelb \
  --disable-network-policy \
  --disable traefik \
  --cluster-init

Après l’installation, quelques pods devraient être en cours d’exécution (3). Ne soyez pas choqués si les pods sont dans l’état ContainerCreating ou Pending. Cela est dû au fait que les pods ne peuvent pas communiquer entre eux parce que nous avons désactivé le CNI (--flannel-backend=none). Nous installerons plus tard Cilium, qui remplacera le CNI Flannel.

kubectl get pods -A

Installer Helm

Helm est le gestionnaire de packages pour Kubernetes, vous pouvez soit l’installer directement (suivez la documentation Helm), soit utiliser les composants d’Helm inclus avec Cilium. Nous avons choisi d’installer Helm directement, ce qui est facilement faisable avec cette commande :

curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash

Installer Cilium

Cilium est un logiciel de mise en réseau et de sécurité pour Kubernetes. Cilium est très rapide, évolutif et sécurisé car il repose sur eBPF - une technologie révolutionnaire qui peut exécuter des programmes isolés dans le noyau Linux sans recompiler le noyau ou charger des modules noyau.

Nous pourrions installer Cilium avec Helm comme indiqué ici :

helm repo add cilium https://helm.cilium.io/
helm repo update
helm install cilium cilium/cilium

Cependant, nous avons voulu l’installer avec leur CLI, et voici comment vous pouvez le faire. Tout d’abord, installez la CLI de Cilium en exécutant ce script :

CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli/main/stable.txt)
CLI_ARCH=amd64
curl -L --fail --remote-name-all https://github.com/cilium/cilium-cli/releases/download/${CILIUM_CLI_VERSION}/cilium-linux-${CLI_ARCH}.tar.gz
sudo tar xzvfC cilium-linux-${CLI_ARCH}.tar.gz /usr/local/bin
rm cilium-linux-${CLI_ARCH}.tar.gz

Ensuite, vous pouvez installer Cilium avec l’adresse IP de votre serveur :

cilium install \
  --set k8sServiceHost=${API_SERVER_IP} \
  --set k8sServicePort=6443 \
  --set kubeProxyReplacement=true

Nous attendons maintenant que Cilium indique que tout est OK ou disabled :

cilium status --wait

Au bout d’un moment, tous les pods devraient être en état Running.

kubectl get pods -A

Enfin, vous pouvez appliquer certaines ressources pour Cilium :

1
apiVersion: cilium.io/v2alpha1
2
kind: CiliumL2AnnouncementPolicy
3
metadata:
4
    name: default-l2-announcement-policy
5
    namespace: kube-system
6
spec:
7
    externalIPs: true
8
    loadBalancerIPs: true

1
apiVersion: "cilium.io/v2alpha1"
2
kind: CiliumLoadBalancerIPPool
3
metadata:
4
    name: "first-pool"
5
spec:
6
    blocks:
7
        - start: "192.168.0.240"
8
          stop: "192.168.0.249"

De plus, vous devriez mettre à jour la configuration de Cilium. Pour cela, créez d’abord ce fichier dans le répertoire racine où vous souhaitez gérer le cluster k3s. Plus tard, vous pourrez également appliquer des propriétés liées à Hubble et Prometheus si vous souhaitez utiliser Grafana ou un outil similaire (ouvrez les lignes repliées si vous souhaitez utiliser notre configuration également).

1
k8sServiceHost: 127.0.0.1
2
k8sServicePort: 6443
3

4
kubeProxyReplacement: true
5
l2announcements:
6
    enabled: true
7

8
externalIPs:
9
    enabled: true
10

11
k8sClientRateLimit:
12
    qps: 50
13
    burst: 200
14

15
operator:
16
    replicas: 1
17
    rollOutPods: true
18
    prometheus:
19
        enabled: true
20

21
rollOutCiliumPods: true
22

23
ingressController:
24
    enabled: true
25
    default: true
26
    loadbalancerMode: shared
27
    service:
28
        annotations:
29
            io.cilium/lb-ipam-ips: 192.168.0.240
30

28 collapsed lines
31
hubble:
32
    relay:
33
        enabled: true
34
    ui:
35
        enabled: true
36
    metrics:
37
        serviceMonitor:
38
            enabled: true
39
        enableOpenMetrics: true
40
        enabled:
41
            - dns
42
            - drop
43
            - tcp
44
            - icmp
45
            - port-distribution
46
            - "flow:sourceContext=workload-name|reserved-identity;destinationContext=workload-name|reserved-identity"
47
            - "kafka:labelsContext=source_namespace,source_workload,destination_namespace,destination_workload,traffic_direction;sourceContext=workload-name|reserved-identity;destinationContext=workload-name|reserved-identity"
48
            - "httpV2:exemplars=true;labelsContext=source_ip,source_namespace,source_workload,destination_ip,destination_namespace,destination_workload,traffic_direction;sourceContext=workload-name|reserved-identity;destinationContext=workload-name|reserved-identity"
49
        dashboards:
50
            enabled: true
51
            namespace: monitoring
52
            annotations:
53
                grafana_folder: "Hubble"
54

55
prometheus:
56
    enabled: true
57
    serviceMonitor:
58
        enabled: true

Exécutez cette commande pour mettre à jour :

cilium upgrade -f cilium-config.yaml

Configurer le gestionnaire de certificats avec Cloudflare

Pour pouvoir créer des certificats pour chaque sous-domaine, il est important d’appliquer un émetteur de certificats qui gère les demandes de certificats et les résout auprès d’un fournisseur. Nous avons choisi Cloudflare comme notre émetteur, et voici la configuration que vous devez appliquer à votre cluster Kubernetes. Pour plus d’informations, vous pouvez consulter la documentation de cert-manager.

Mais d’abord, nous devons installer le cert-manager en exécutant la commande suivante :

helm install cert-manager jetstack/cert-manager --namespace cert-manager --create-namespace --set crds.enabled=true

1
apiVersion: cert-manager.io/v1
2
kind: ClusterIssuer
3
metadata:
4
    name: acme-issuer
5
    namespace: cert-manager
6
spec:
7
    acme:
8
        email: <Email for updates>
9
        server: https://acme-v02.api.letsencrypt.org/directory
10
        privateKeySecretRef:
11
            name: acme-issuer
12
        solvers:
13
            - dns01:
14
                  cloudflare:
15
                      email: <Cloudflare account Email>
16
                      apiTokenSecretRef:
17
                          name: cloudflare-api-token-secret
18
                          key: api-token

Vous pouvez appliquer un fichier au cluster Kubernetes en exécutant cette commande k8s (également k3s) :

kubectl apply -f cluster-issuer.yaml

Si vous souhaitez supprimer la ressource dans le cluster Kubernetes, la commande est assez simple :

kubectl delete -f cluster-issuer.yaml

Comme vous l’avez peut-être remarqué ci-dessus, nous avons également besoin d’un secret pour le jeton API qui authentifie que ce générateur est autorisé à demander des certificats. Par conséquent, nous créons un secret avec un API Token non chiffré de Cloudflare.

De nos jours, nous créons un jeton en accédant à votre tableau de bord Cloudflare, puis en cliquant sur votre profil et en sélectionnant l’onglet API Tokens. Ici, vous pouvez générer un jeton spécifique pour votre générateur ou utiliser la clé API globale (non recommandée). La solution recommandée est de créer un jeton API avec deux permissions (jeton personnalisé) :

Zone - DNS - Modifier
Zone - Zone - Lecture

Jeton API Cloudflare

Une description plus détaillée des jetons peut être trouvée dans les docs Cloudflare.

Après avoir appliqué ce secret à Kubernetes, le générateur devrait être prêt à résoudre quelques vilains problèmes !

1
apiVersion: v1
2
kind: Secret
3
metadata:
4
    name: cloudflare-api-key-secret
5
    namespace: cert-manager
6
type: Opaque
7
stringData:
8
    api-key: <Cloudflare API Token (not encrypted)>

Vous pouvez maintenant utiliser ce générateur en appliquant ce fichier qui, espérons-le, créera un certificat :

1
apiVersion: cert-manager.io/v1
2
kind: Certificate
3
metadata:
4
    name: mutanuq
5
    namespace: mutanuq
6
spec:
7
    secretName: mutanuq
8
    issuerRef:
9
        name: acme-issuer
10
        kind: ClusterIssuer
11
    dnsNames:
12
        - "mutanuq.trueberryless.org"

Cela prend généralement environ 90 secondes pour authentifier la demande une fois appliquée. Vous pouvez vérifier l’état actuel de la demande en exécutant cette commande kubernetes. Si cela prend plus de 2 minutes, peut-être que quelques astuces dans #Dépannage peuvent vous aider.

kubectl describe certificaterequests.cert-manager.io -n mutanuq

Exemple d’application `mutanuq`

Ensuite, vous pouvez utiliser ce certificat dans votre contrôleur Ingress :


41 collapsed lines
1
apiVersion: apps/v1
2
kind: Deployment
3
metadata:
4
    name: mutanuq
5
    namespace: mutanuq
6
    labels:
7
        app: mutanuq
8
    annotations:
9
        keel.sh/policy: all
10
        keel.sh/trigger: poll
11
        keel.sh/pollSchedule: "@every 10s"
12
        keel.sh/releaseNotes: "https://github.com/trueberryless-org/mutanuq/releases"
13
spec:
14
    replicas: 3
15
    selector:
16
        matchLabels:
17
            app: mutanuq
18
    template:
19
        metadata:
20
            labels:
21
                app: mutanuq
22
        spec:
23
            containers:
24
                - name: mutanuq
25
                  image: trueberryless/mutanuq
26
                  imagePullPolicy: Always
27
---
28
apiVersion: v1
29
kind: Service
30
metadata:
31
    name: mutanuq
32
    namespace: mutanuq
33
    annotations:
34
        cert-manager.io/issuer: acme-issuer
35
spec:
36
    selector:
37
        app: mutanuq
38
    ports:
39
        - name: http
40
          port: 80
41
---
42
apiVersion: networking.k8s.io/v1
43
kind: Ingress
44
metadata:
45
    name: mutanuq
46
    namespace: mutanuq
47
spec:
48
    rules:
49
        - host: mutanuq.trueberryless.org
50
          http:
51
              paths:
52
                  - path: /
53
                    pathType: Prefix
54
                    backend:
55
                        service:
56
                            name: mutanuq
57
                            port:
58
                                number: 80
59

60
    tls:
61
        - hosts:
62
              - mutanuq.trueberryless.org
63
          secretName: mutanuq

Configurer Keel

Nous avons toujours voulu une solution propre d’Intégration Continue (CI) et de Livraison Continue (CD) pour nos sites web. Cela signifie qu’un message de commit spécifique devrait déclencher un processus automatisé via GitHub, Docker Hub et notre serveur, qui, à la fin, met à jour le site web correspondant en environ deux minutes.

Keel est un outil logiciel robuste qui permet cette fonctionnalité pour Kubernetes. Nous avons utilisé Keel pour tirer de nouvelles images Docker de Docker Hub en interrogeant toutes les quelques minutes. De plus, Keel fournit un magnifique tableau de bord où vous pouvez contrôler l’interrogation également.

Pour configurer Keel avec le tableau de bord d’administration, nous avons créé ces fichiers :

secret-dashboard.yaml pour le nom d’utilisateur et le mot de passe administrateur (tout le monde ne devrait pas pouvoir accéder au tableau de bord)
keel.yaml pour les configurations réelles de k3s (copié et adapté de KeelHQ)

1
apiVersion: v1
2
kind: Secret
3
metadata:
4
    name: keel-dashboard-secrets
5
    namespace: keel
6
type: Opaque
7
stringData:
8
    username: <username>
9
    password: <password>


154 collapsed lines
1
---
2
apiVersion: v1
3
kind: Namespace
4
metadata:
5
    name: keel
6

7
---
8
apiVersion: v1
9
kind: ServiceAccount
10
metadata:
11
    name: keel
12
    namespace: keel
13
    labels:
14
        app: keel
15

16
---
17
apiVersion: rbac.authorization.k8s.io/v1
18
kind: ClusterRole
19
metadata:
20
    name: keel
21
rules:
22
    - apiGroups:
23
          - ""
24
      resources:
25
          - namespaces
26
      verbs:
27
          - watch
28
          - list
29
    - apiGroups:
30
          - ""
31
      resources:
32
          - secrets
33
      verbs:
34
          - get
35
          - watch
36
          - list
37
    - apiGroups:
38
          - ""
39
          - extensions
40
          - apps
41
          - batch
42
      resources:
43
          - pods
44
          - replicasets
45
          - replicationcontrollers
46
          - statefulsets
47
          - deployments
48
          - daemonsets
49
          - jobs
50
          - cronjobs
51
      verbs:
52
          - get
53
          - delete # required to delete pods during force upgrade of the same tag
54
          - watch
55
          - list
56
          - update
57
    - apiGroups:
58
          - ""
59
      resources:
60
          - configmaps
61
          - pods/portforward
62
      verbs:
63
          - get
64
          - create
65
          - update
66

67
---
68
apiVersion: rbac.authorization.k8s.io/v1
69
kind: ClusterRoleBinding
70
metadata:
71
    name: keel
72
roleRef:
73
    apiGroup: rbac.authorization.k8s.io
74
    kind: ClusterRole
75
    name: keel
76
subjects:
77
    - kind: ServiceAccount
78
      name: keel
79
      namespace: keel
80

81
---
82
apiVersion: networking.k8s.io/v1
83
kind: Ingress
84
metadata:
85
    name: keel
86
    namespace: keel
87
spec:
88
    rules:
89
        - host: keel.trueberryless.org
90
          http:
91
              paths:
92
                  - path: /
93
                    pathType: Prefix
94
                    backend:
95
                        service:
96
                            name: keel
97
                            port:
98
                                number: 9300
99

100
    tls:
101
        - hosts:
102
              - keel.trueberryless.org
103
          secretName: keel
104

105
---
106
apiVersion: v1
107
kind: Service
108
metadata:
109
    name: keel
110
    namespace: keel
111
    labels:
112
        app: keel
113
spec:
114
    type: LoadBalancer
115
    ports:
116
        - port: 9300
117
          targetPort: 9300
118
          protocol: TCP
119
          name: keel
120
    selector:
121
        app: keel
122
    sessionAffinity: None
123

124
---
125
apiVersion: apps/v1
126
kind: Deployment
127
metadata:
128
    name: keel
129
    namespace: keel
130
    labels:
131
        app: keel
132
spec:
133
    replicas: 1
134
    selector:
135
        matchLabels:
136
            app: keel
137
    template:
138
        metadata:
139
            labels:
140
                app: keel
141
        spec:
142
            serviceAccountName: keel
143
            containers:
144
                - name: keel
145
                  # Note that we use appVersion to get images tag.
146
                  image: "keelhq/keel:latest"
147
                  imagePullPolicy: Always
148
                  command: ["/bin/keel"]
149
                  env:
150
                      - name: NAMESPACE
151
                        valueFrom:
152
                            fieldRef:
153
                                fieldPath: metadata.namespace
154
                      # Basic auth (to enable UI/API)
155
                      - name: BASIC_AUTH_USER
156
                        valueFrom:
157
                            secretKeyRef:
158
                                name: keel-dashboard-secrets
159
                                key: username
160
                      - name: BASIC_AUTH_PASSWORD
161
                        valueFrom:
162
                            secretKeyRef:
163
                                name: keel-dashboard-secrets
164
                                key: password
29 collapsed lines
165
                  ports:
166
                      - containerPort: 9300
167
                  livenessProbe:
168
                      httpGet:
169
                          path: /healthz
170
                          port: 9300
171
                      initialDelaySeconds: 30
172
                      timeoutSeconds: 10
173
                  resources:
174
                      limits:
175
                          cpu: 100m
176
                          memory: 128Mi
177
                      requests:
178
                          cpu: 50m
179
                          memory: 64Mi
180

181
---
182
# Source: keel/templates/pod-disruption-budget.yaml
183

184
apiVersion: policy/v1
185
kind: PodDisruptionBudget
186
metadata:
187
    name: keel
188
    namespace: keel
189
spec:
190
    maxUnavailable: 1
191
    selector:
192
        matchLabels:
193
            app: keel

Après avoir appliqué les deux fichiers et géré le certificat supplémentaire pour keel.trueberryless.org, le tableau de bord Keel fonctionne parfaitement. De plus, chaque Deployment Kubernetes peut opter pour un sondage Docker Hub automatisé en ajoutant quelques annotations :

1
apiVersion: apps/v1
2
kind: Deployment
3
metadata:
4
    name: mutanuq
5
    namespace: mutanuq
6
    labels:
7
        app: mutanuq
8
    annotations:
9
        keel.sh/policy: all
10
        keel.sh/trigger: poll
11
        keel.sh/pollSchedule: "@every 1m"
12
        keel.sh/releaseNotes: "https://github.com/trueberryless-org/mutanuq/releases"
13
spec:
14
    replicas: 1
49 collapsed lines
15
    selector:
16
        matchLabels:
17
            app: mutanuq
18
    template:
19
        metadata:
20
            labels:
21
                app: mutanuq
22
        spec:
23
            containers:
24
                - name: mutanuq
25
                  image: trueberryless/mutanuq
26
                  imagePullPolicy: Always
27
---
28
apiVersion: v1
29
kind: Service
30
metadata:
31
    name: mutanuq
32
    namespace: mutanuq
33
    annotations:
34
        cert-manager.io/issuer: acme-issuer
35
spec:
36
    selector:
37
        app: mutanuq
38
    ports:
39
        - name: http
40
          port: 80
41
---
42
apiVersion: networking.k8s.io/v1
43
kind: Ingress
44
metadata:
45
    name: mutanuq
46
    namespace: mutanuq
47
spec:
48
    rules:
49
        - host: mutanuq.trueberryless.org
50
          http:
51
              paths:
52
                  - path: /
53
                    pathType: Prefix
54
                    backend:
55
                        service:
56
                            name: mutanuq
57
                            port:
58
                                number: 80
59

60
    tls:
61
        - hosts:
62
              - mutanuq.trueberryless.org
63
          secretName: mutanuq

Célébrez avec un café !

Félicitations, vous avez réussi à configurer Kubernetes avec Cilium et Cloudflare ! Vous méritez une pause café. Profitez d’une tasse bien méritée, et si vous souhaitez partager un café virtuel avec moi, n’hésitez pas à soutenir mon travail sur Ko-fi. Merci !

Dépannage

Cilium-ingress n’a pas d’External-IP

Assurez-vous que le ip-pool inclut l’adresse spécifiée par les annotations dans le fichier config.yaml.

1
apiVersion: "cilium.io/v2alpha1"
2
kind: CiliumLoadBalancerIPPool
3
metadata:
4
    name: "first-pool"
5
spec:
6
    blocks:
7
        - start: "192.168.0.240" # 240 included for ingress
8
          stop: "192.168.0.249"

1
ingressController:
2
    enabled: true
3
    default: true
4
    loadbalancerMode: shared
5
    service:
6
        annotations:
7
            io.cilium/lb-ipam-ips: 192.168.0.240 # this must be within range

Si vous ne déployez pas localement mais sur l’une des Big Three, veuillez consulter d’autres documentations sur les raisons pour lesquelles l’IP externe reste en attente. Il est principalement de leur responsabilité de vous fournir une adresse.

Pas d’approbation de certificat Cloudflare

Il peut y avoir un problème lorsque le certificat ne reçoit pas l’approbation de Cloudflare.

Jeton API incorrect

Tout d’abord, assurez-vous que le jeton API Cloudflare est correct. Pour être sûr à 100 %, créez-en un nouveau et insérez-le (non encodé en base64) dans ce fichier :

1
apiVersion: v1
2
kind: Secret
3
metadata:
4
    name: cloudflare-api-key-secret
5
    namespace: cert-manager
6
type: Opaque
7
stringData:
8
    api-key: <Cloudflare API Token (not encrypted)>

Maximum d’échecs d’authentification atteint

Nous avons rencontré une fois l’erreur Error: 9109: Max auth failures reached, please check your Authorization header.. Il suffit d’attendre quelques heures, de supprimer la ressource et de l’appliquer à nouveau :

kubectl delete -f certificate.yaml
kubectl apply -f certificate.yaml

Espérons que tout fonctionne maintenant !